Sicherheitsforscher warnen erneut vor gewieften Stealer-Apps, die es auf Android- und erstmals offenbar auch auf iPhone-Nutzer abgesehen haben. Die SparkCat getaufte Malware versteckt sich in diversen unscheinbar wirkenden Apps, die über die offiziellen Hersteller-Läden Google Play und App Store vertrieben werden, wie die Sicherheitsfirma Kaspersky berichtet. Es sei das erste Mal, dass solche Malware in Apples App Store entdeckt wurde. Der Konzern habe diese inzwischen entfernt.
Anzeige
Die Masche ist ebenso einfach wie wohl auch effektiv: Die Apps bitten den Nutzer unter einem Vorwand, den Zugriff auf die Fotomediathek zu erlauben, etwa wenn dieser den Support des App-Anbieters kontaktieren will. Wird das gewährt, scannt die App unbemerkt die Fotos und vor allem Screenshots des Nutzers nach bestimmten Schlüsselbegriffen. Dafür kommt der Analyse zufolge Googles Texterkennung ML Kit zum Einsatz.
Mögliche Treffer extrahiert die Malware dann und lädt diese auf Server der Angreifer hoch. Vorrangig geht es ihnen um Kenntnis von Seed- respektive Wiederherstellungsphrasen von Krypto-Wallets, die Nutzer der Bequemlichkeit halber als Screenshot speichern. Mit solchen Phrasen lässt sich unmittelbar das Wallet auf einem anderen Gerät wiederherstellen und sämtliche darin enthaltene Kryptowährungen klauen. Die Malware ist flexibel genug, um auch andere sensible Daten wie Passwörter oder Nachrichten auszulesen, merkt Kaspersky an.
Laut Sicherheitsforschern zielen die Stealer-Apps bislang vorrangig auf Nutzer in Europa und Asien. Die Android-Versionen der Stealer seien rund 250.000 mal heruntergeladen worden; wie viele Downloads die iOS-Versionen zählen, bleibt unklar.
Die von Kaspersky angeführten Apps sind obskur. Manche der Apps seien offenbar gezielt dafür angelegt, um die Malware zu vertreiben. Diese stecke aber auch in legitimen Apps, bei denen der Entwickler respektive Anbieter möglicherweise gar nichts von dem Schädling weiß. Er könnte etwa als Teil eines SDKs Einzug in sonst gutmeinende Apps halten. Wie die Malware die Prüfprozesse von Google und Apple überlistet, ist nicht bekannt.
Smartphone-Nutzer können sich gegen solche Malware durchaus wappnen: Passwörter und vor allem Seed-Phrasen von Krypto-Wallets sollten generell nicht als Screenshots oder Fotos gesichert werden, das gilt auch für andere, möglicherweise sensible Daten. Zudem sollten Nutzer misstrauisch sein, auch wenn Apps plausibel wirkende Zugriffsrechte wünschen. Der Foto-Zugriff lässt sich auf iOS wie Android auf einzelne Bilder einschränken – statt einfach die ganze Mediathek freizugeben.
(
Kommentare